今日运势评分

-1

本月运势

戊寅月

震荡偏多

癸水为财，亥子丑三会水

壬不泱水更难提防
戌不吃犬作怪上床

宜

祭祀,塞穴,结网,破土,谢土,安葬,移柩,除服,成服,馀事勿取

忌

嫁娶,入宅

月相

有明

底部反弹

日冲

Powered by RitMEX

注册/

TRUMP16.08 -1.92%

SUI3.34 -1.95%

TON3.77 2.29%

TRX0.24 2.77%

DOGE0.24 -0.18%

XRP2.56 -1.10%

SOL169.23 -2.68%

BNB654.04 -0.32%

ETH2801.79 2.25%

BTC95655.16 -0.99%

ETH Gas0.90 Gwei

中性

49

首页 深潮精选 Research 项目发现 7x24h︎快讯 最新活动

复盘：MOBOX 被黑分析

2024.03.20 - 340 天前

2024 年 3 月 14 日，Optimism 链上的去中心化借贷协议 MOBOX 遭攻击，损失约 75 万美元。

撰文：Doris

背景

2024 年 3 月 14 日，据慢雾 MistEye 安全监控系统预警，Optimism 链上的去中心化借贷协议 MOBOX 遭攻击，损失约 75 万美元。慢雾安全团队对该攻击事件展开分析并将结果分享如下：

(https://twitter.com/SlowMist_Team/status/1768167772230713410)

相关信息

攻击者地址：

0x4e2c6096985e0b2825d06c16f1c8cdc559c1d6f8

0x96f004c81d2c7b907f92c45922d38ab870a53945

被攻击的合约地址：

0xae7b6514af26bcb2332fea53b8dd57bc13a7838e

攻击交易：

0x4ec3061724ca9f0b8d400866dd83b92647ad8c943a1c0ae9ae6c9bd1ef789417

攻击核心

本次攻击的核心点主要有两个，其一是攻击者利用合约中的 borrow() 函数漏洞，每次调用该函数都会触发对推荐人地址的奖励分配。由于奖励的计算是基于转移的代币数量确定的，所以攻击者可以通过将给推荐人的奖励再次转回被攻击合约来增加下一次借款的数量。其二是每次调用 borrow() 函数会燃烧掉池子中的一部分 MO 代币，因此 MO 代币的价格被不断拉高，最终攻击者可以通过不断借款并叠加奖励获利。

交易分析

我们可以发现，整个攻击的流程主要是通过循环调用存在漏洞的 borrow() 函数，随后立即调用 redeem() 进行赎回，再将分配给推荐人的代币转移回攻击合约。

跟进 borrow() 函数进行分析，可以发现每次调用该函数都会燃烧掉池子中的部分 MO 代币。

然而借出去的 USDT 的数量是根据池子中的 MO 代币的价格进行计算的，由于 MO 代币的价格因为燃烧而不断的拉高，最终导致攻击者用少量的 MO 代币就能借出大量的 USDT 代币。

此外，每次借款都会给一个推荐人地址进行分红奖励，并且该函数是根据传入的 MO 代币的数量进行计算的。

然而由于推荐人地址也是由攻击者 (0x96f004c81d2c7b907f92c45922d38ab870a53945) 控制的，所以攻击者可以在完成借贷操作后，将这部分奖励转回来，以此叠加下一次借款的数量和分红奖励。

经过以上循环操作后，攻击者拉高了 MO 代币的价格，最终可以用极少数量的 MO 代币就能借出合约中的大额的 USDT，并且直接在失衡的池子中将 USDT 全部兑换出来，获利离场。

总结

本次攻击的核心在于攻击者利用 borrow() 函数会燃烧池子中部分代币的机制，不断借用资产，拉高池子中代币的价格并获取推荐人奖励，随后把代币转移回来并再次借用，以此不断叠加奖励和操控价格。慢雾安全团队建议项目方在类似功能函数中添加锁仓时间的限制，并且在设计借贷的价格模型时考虑多种因素，避免类似事件再次发生。

欢迎加入深潮TechFlow官方社群

Telegram订阅群：https://t.me/TechFlowDaily
Twitter官方账号：https://x.com/TechFlowPost
Twitter英文账号：https://x.com/DeFlow_Intern

原文链接

添加收藏

分享社交媒体

作者

慢雾科技@SlowMist_Team

相关文章

2025.02.22 - 昨天

再次盗取15亿美元加密货币，朝鲜如何培养出世界一流黑客的？

在键盘取代导弹的新时代，年轻黑客们的键盘将会成为加密货币的达摩克利斯之剑。

原创朝鲜黑客

2025.02.21 - 前天

加密右翼浪潮下的 Web3 社区建设

从早期的技术理想主义到如今的金融化和资本集中化，Web3社区正在经历一场从“左”到“右”的深刻转变。

2025.02.21 - 前天

Meme 退潮、大额解锁，Solana“好运”用完了？

近期Meme明显“退潮”迹象，加上临近的超大额解锁，可谓是祸不单行，Solana压力倍增，它的“好运”真的用完吗了？

Meme

2025.02.21 - 前天

实测百度搜索 DeepSeek 满血版：“为我所用”还是“拿来主义”？

百度搜索目前已全量上线DeepSeek满血版并提供联网服务，其中PC端开放仅1小时就有超千万人使用。

百度 DeepSeek

2025.02.21 - 前天

月之暗面 MoBA 核心作者自述：一个 “新晋大模型训练师” 的三入思过崖

“从开源论文、开源代码出发，现在已经进化到开源思维链了嘛！”

大模型

2025.02.21 - 前天

访谈了 10 个职场卷王，看看他们都在用哪些 AI？

一文精选30+个职场“自我增效”实用AI。

AI

2025.02.21 - 前天

为何金融走在每一个生产变革的前面？

金融在以区块链为代表的第四次工业革命中，从交易结算、价值传递到创新激发、生产关系变革以及产业升级等多个维度，都发挥着不可替代的关键作用。

金融

2025.02.21 - 前天

外部创新与内生困境：Crypto 在迷雾中航行

MemeCoin 的退潮背后或许正藏着一个转折点，人类的未来里未必只有AI。

2025.02.21 - 前天

Alliance DAO：AI 已彻底改变了创业公司，提前思考竞争优势比产品契合度更重要

在当下，提前思考 PMF 之后的竞争优势可能比以往任何时候都更加重要。

AI

2025.02.21 - 前天

2025年加密货币九大趋势：AI、DeFi、代币化与更多创新发展

探讨九大影响加密市场的核心趋势，从实体资产代币化（RWA）到 DeFi 与 AI 的结合，帮助你了解 2025 年最值得关注的区块链发展方向。

7x24h 快讯︎更多

02月23日 23:00: Pumpfun 前端已删除与 Lazarus 相关的 Meme 币

02月23日 22:21: LBank已首发上线VK Official（KOHLI）

02月23日 22:02: Michael Saylor 再次发布比特币 Tracker 相关信息，或将继续增持BTC

02月23日 21:57: Greeks.live：整体市场情绪保持谨慎看多，密切关注 9.9 万美元关键阻力位

02月23日 21:06: 数据：SUI、OP、ZETA 等代币将于下周迎来大额解锁

02月23日 20:58: Bybit：有欺诈者会冒充 Bybit 员工，社区需保持警惕

02月23日 20:54: Mirana Ventures 于 40 分钟前向 Bybit Deposit 转移了 1 万枚 ETH

02月23日 20:36: 美国卫生与公众服务部部长 RFK. Jr.：我是比特币的坚定支持者

深潮精选更多

: Berachain 上能玩什么？全面了解主网关键应用和收益策略
2025.02.21

: SBF 狱中最新采访：FTX 从来没破产，只是流动性危机
2025.02.21

: 解读 Origin：告别传统 ICO，打破代币发行三难困境
2025.02.21

: 加密早报：Canary 的 LTC ETF 已在 DTCC 网站列出，以太坊基金会招聘社交媒体经理
2025.02.21

: 解读 Virtuals 推出的新协议 ACP：让 AI Agent 之间可信交易与协作，赛道乏力时的新机会
2025.02.20

TechFlow Selected深潮精选

复盘：MOBOX 被黑分析

2024 年 3 月 14 日，Optimism 链上的去中心化借贷协议 MOBOX 遭攻击，损失约 75 万美元。

2024.03.20

专注Web3行业深度报道，洞察潮水流动的方向

我要投稿

Hainan Chaodong Technology Co., Ltd. 联系我们 / support@techflowpost.com 琼ICP备2022009338号

FOLLOW US

扫码关注公众号